DE3728561A1 - Method of testing a monitoring device for a microprocessor - Google Patents

Method of testing a monitoring device for a microprocessor

Info

Publication number
DE3728561A1
DE3728561A1 DE19873728561 DE3728561A DE3728561A1 DE 3728561 A1 DE3728561 A1 DE 3728561A1 DE 19873728561 DE19873728561 DE 19873728561 DE 3728561 A DE3728561 A DE 3728561A DE 3728561 A1 DE3728561 A1 DE 3728561A1
Authority
DE
Germany
Prior art keywords
microprocessor
error signal
monitoring device
signal
output
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE19873728561
Other languages
German (de)
Other versions
DE3728561C2 (en
Inventor
Achim Voigt
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mannesmann VDO AG
Original Assignee
Mannesmann VDO AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mannesmann VDO AG filed Critical Mannesmann VDO AG
Priority to DE19873728561 priority Critical patent/DE3728561C2/en
Publication of DE3728561A1 publication Critical patent/DE3728561A1/en
Application granted granted Critical
Publication of DE3728561C2 publication Critical patent/DE3728561C2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0796Safety measures, i.e. ensuring safe condition in the event of error, e.g. for controlling element
    • FMECHANICAL ENGINEERING; LIGHTING; HEATING; WEAPONS; BLASTING
    • F02COMBUSTION ENGINES; HOT-GAS OR COMBUSTION-PRODUCT ENGINE PLANTS
    • F02DCONTROLLING COMBUSTION ENGINES
    • F02D41/00Electrical control of supply of combustible mixture or its constituents
    • F02D41/24Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means
    • F02D41/26Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor
    • F02D41/266Electrical control of supply of combustible mixture or its constituents characterised by the use of digital means using computer, e.g. microprocessor the computer being backed-up or assisted by another circuit, e.g. analogue
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0754Error or fault detection not based on redundancy by exceeding limits
    • G06F11/0757Error or fault detection not based on redundancy by exceeding limits by exceeding a time limit, i.e. time-out, e.g. watchdogs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0751Error or fault detection not based on redundancy
    • G06F11/0763Error or fault detection not based on redundancy by bit configuration check, e.g. of formats or tags
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • G06F11/2205Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested
    • G06F11/2215Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing using arrangements specific to the hardware being tested to test error correction or detection circuits

Abstract

In a method of testing a monitoring device for a microprocessor, where the monitoring device outputs a fault signal if a signal which is normally output regularly by the microprocessor fails, the signal output to the monitoring device is repeatedly interrupted by the microprocessor. Also, the microprocessor tests whether the monitoring device outputs a fault signal. If a fault signal is present, it is stopped, and if it is not present, a fault in the monitoring device is established.

Description

Die Erfindung betrifft ein Verfahren zur Überprüfung einer Überwachungseinrichtung für einen Mikroprozes­ sor, welche bei Ausfall eines ansonsten regelmäßig vom Mikroprozessor abgegebenen Signals ein Fehlersig­ nal abgibt.The invention relates to a method for checking a monitoring device for a Mikroprozes sor, which in case of failure of an otherwise regular from the microprocessor output a faulty signal donates.

Insbesondere in mit Mikroprozessoren ausgerüsteten Steuergeräten für Kraftfahrzeuge kommt der ordnungs­ gemäßen Funktion des Mikroprozessors eine zentrale Bedeutung zu, da Fehler zu gefährlichen Fahrzustän­ den führen können. Es werden daher bei bekannten Steuergeräten zur Überwachung der ordnungsgemäßen Funktion des Mikroprozessors Überwachungseinrichtun­ gen - sogenannte "Watch-dog-Schaltungen" - verwen­ det. Fällt jedoch eine derartige Überwachungseinrich­ tung aus, so wird ein Programmfehler oder ein defek­ ter Mikroprozessor nicht mehr erkannt. Dabei kann es zu kritischen Fahrzuständen kommen. Especially in microprocessor-equipped control units for motor vehicles, the proper function of the microprocessor is of central importance, since errors can lead to dangerous driving states. There are therefore in known control devices for monitoring the proper functioning of the microprocessor Überwachungseinrichtun gene - so-called "watch-dog circuits" - verwen det. However, if such a monitoring device fails, a program error or a defecct microprocessor is no longer detected. This can lead to critical driving conditions.

Aufgabe der vorliegenden Erfindung ist es daher, einen Ausfall einer Überwachungseinrichtung bereits zu erkennen, bevor durch einen Ausfall oder eine feh­ lerhafte Funktion des Mikroprozessors ein Gefahren­ zustand eintritt.The object of the present invention is therefore to a failure of a monitoring device already to be recognized before by a failure or a feh Imperceptible function of the microprocessor is a hazard state entrance.

Das erfindungsgemäße Verfahren ist dadurch gekenn­ zeichnet, daß vom Mikroprozessor die Signalabgabe an die Überwachungseinrichtung wiederholt unterbrochen wird, daß vom Mikroprozessor überprüft wird, ob die Überwachungseinrichtung ein Fehlersignal abgibt, und daß bei vorhandenem Fehlersignal das Fehlersignal beendet wird und bei nicht vorhandenem Fehlersignal ein Fehler der Überwachungseinrichtung festgestellt wird.The method according to the invention is characterized records that from the microprocessor to the signal output the monitoring device repeatedly interrupted is checked by the microprocessor, whether the Monitoring device emits an error signal, and that in case of error signal present the error signal is terminated and if no error signal detected an error of the monitoring device becomes.

Eine Weiterbildung des erfindungsgemäßen Verfahrens, bei welcher ein elektro-mechanisches Stellglied vom Mikroprozessor gesteuert und bei vorhandenem Fehler­ signal in eine Sicherheitsstellung gebracht wird, sieht vor, daß das Fehlersignal so schnell beendet wird, daß das Stellglied während dieser Zeit seine Position praktisch nicht verändert.A development of the method according to the invention, in which an electro-mechanical actuator from Microprocessor controlled and with existing error signal is placed in a safety position, provides that the error signal terminates so quickly is that the actuator during this time his Position virtually unchanged.

Durch diese Weiterbildung wird erreicht, daß einer­ seits wiederholt Fehlersignale ausgelöst werden kön­ nen und daß andererseis das zu steuernde Stellglied nicht unnötigerweise verstellt wird, wenn es sich bei dem vorhandenen Fehlersignal um ein lediglich zu Zwecken der Überprüfung ausgelöstes Fehlersignal handelt. Through this development it is achieved that a on the one hand, repeated error signals can be triggered and that, on the other hand, the actuator to be controlled not unnecessarily misaligned when it is in the case of the existing error signal by only one Purposes of the check triggered error signal is.  

Ein hohes Maß an Sicherheit wird gemäß einer anderen Weiterbildung dadurch erreicht, daß bei Feststellung eines Fehlers der Überwachungseinrichtung vom Mikro­ prozessor ein weiteres Fehlersignal abgegeben wird, das ebenfalls das Stellglied in die Sicherheitsstel­ lung bringt. Es ist jedoch im Rahmen der Erfindung nicht ausgeschlossen, daß bei Feststellung eines Feh­ lers der Überwachungseinrichtung andere Maßnahmen, beispielsweise eine optische oder akustische War­ nung, ergriffen werden.A high level of security will be according to another Training achieved in that upon detection a fault of the monitoring device from the micro processor another error signal is emitted, this is also the actuator in the safety post brings. However, it is within the scope of the invention not excluded that upon detection of a Feh other measures, for example, an optical or acoustic War be taken.

Damit das Fehlersignal, welches zu Überwachungs­ zwecken ausgelöst ist, unverzüglich vom Mikroprozes­ sor verarbeitet werden kann, ist gemäß einer anderen Weiterbildung vorgesehen, daß das Fehlersignal im Mikroprozessor eine nichtmaskierbare Programmunter­ brechung (Interrupt) auslöst.Thus the error signal, which is to monitor is triggered immediately by Mikroprozes sor can be processed according to another Further development provided that the error signal in Microprocessor a non-maskable program sub interruption (interrupt).

Gemäß einer anderen Weiterbildung erfolgt das Unter­ brechen der Signalabgabe an die Überwachungseinrich­ tung in regelmäßigen Zeitabständen.According to another development, the sub break the signal output to the Überwachungsseinrich at regular intervals.

Schließlich besteht eine Weiterbildung des erfin­ dungsgemäßen Verfahrens darin, daß bei der Unterbre­ chung der Signalabgabe ein Codewort in einem Schreib- Lese-Speicher eingeschrieben wird, daß bei Auftreten des Fehlersignals geprüft wird, ob das Codewort im Schreib-Lese-Speicher eingeschrieben ist, und daß bei eingeschriebenem Codewort eine ordnungsgemäße Funktion der Überwachungsschaltung und bei nicht eingeschriebenem Codewort ein Fehler im Mikroprozes­ sor festgestellt wird. Dadurch wird mit großer Sicherheit ein durch eine Überprüfung entstandenes Fehlersignal von einem echten Fehlersignal unter­ schieden. Finally, there is a development of inventions method according to the invention in that at the Unterbre signaling a codeword in a write Read memory is written that when occurring the error signal is checked whether the code word in Read-write memory is written, and that with registered codeword a proper Function of the monitoring circuit and not inscribed codeword an error in Mikroprozes sor is determined. This will be great Security arose from a review Error signal from a real error signal below eliminated.  

Die Erfindung läßt zahlreiche Ausführungsformen zu. Eine davon ist schematisch in der Zeichnung anhand mehrerer Figuren dargestellt und nachfolgend be­ schrieben. Es zeigt:The invention allows numerous embodiments. One of them is schematically illustrated in the drawing represented by several figures and subsequently be wrote. It shows:

Fig. 1 ein Blockschaltbild einer Schaltungsanordnung zur Durchführung des erfindungsgemäßen Ver­ fahrens, Fig. 1 is a block diagram showing a circuit arrangement for carrying out the invention Ver driving,

Fig. 2 und Fig. 3 jeweils ein Flußdiagramm von Pro­ grammteilen, die zur Überprüfung der Über­ wachungsschaltung dienen, und Fig. 2 and Fig. 3 are each a flow chart of program parts, which serve to check the monitoring circuit over, and

Fig. 4 eine schematische Darstellung einer elektro­ nischen Gaspedalanlage mit einer Überwa­ chungseinrichtung nach dem erfindungsgemäßen Verfahren. Fig. 4 is a schematic representation of an electro-American accelerator pedal system with a moni monitoring device according to the inventive method.

Gleiche Teile sind in den Figuren mit gleichen Bezugszeichen versehen.Same parts are the same in the figures Provided with reference numerals.

Bei dem Blockschaltbild nach Fig. 1 ist ein Mikropro­ zessor 1 Teil eines im übrigen nicht dargestellten Steuergerätes. Der Mikroprozessor 1 ist in an sich bekannter Weise über ein Bus-System 2 mit einem Nur- Lese-Speicher (ROM) 3 und einem Schreib-Lese-Spei­ cher (RAM) 4 sowie weiteren nicht dargestellten Ein­ heiten verbunden.In the block diagram of Fig. 1, a micropro processor 1 is part of a control unit, not shown otherwise. The microprocessor 1 is connected in a conventional manner via a bus system 2 with a read-only memory (ROM) 3 and a read-write memory (RAM) 4 and other unillustrated units.

Der Takteingang CL eines D-Flip-Flops 5 ist an einen Ausgang WDT 1 des Mikroprozessors 1 angeschlossen. Der Ausgang Q des D-Flip-Flops 5 ist mit dem Resetein­ gang eines Zählers 6 verbunden, welcher im wesent­ lichen die Watch-dog-Schaltung bildet. Der Zähler 6 verfügt über einen internen Taktgenerator, zu dem die externen Widerstände 7, 8 und der externe Konden­ sator 9 als frequenzbestimmendes Glied gehören. Der Ausgang Q des Zählers 6 ist mit einem Eingang einer Oder-Schaltung 10 verbunden, deren Ausgang an den Takteingang eines Flip-Flops 11 angeschlossen ist. Der Ausgang des Flip-Flops 11 bildet einen Ausgang 12 der in Fig. 1 dargestellten Schaltungsanordnung, welchem ein Fehlersignal entnehmbar ist, wenn der Mikroprozessor 1 oder die Überwachungsschaltung de­ fekt ist.The clock input CL of a D flip-flop 5 is connected to an output WDT 1 of the microprocessor 1 . The output Q of the D-type flip-flop 5 is connected to the reset input of a counter 6 , which forms the watch dog circuit in wesent union. The counter 6 has an internal clock generator to which the external resistors 7 , 8 and the external condenser 9 belong as a frequency-determining member. The output Q of the counter 6 is connected to an input of an OR circuit 10 whose output is connected to the clock input of a flip-flop 11 . The output of the flip-flop 11 forms an output 12 of the circuit arrangement shown in Fig. 1, which an error signal is removable when the microprocessor 1 or the monitoring circuit is de fekt.

Die weiteren Teile der Schaltungsanordnung nach Fig. 1 dienen im wesentlichen zur Erzeugung eines defi­ nierten Zustandes nach dem Einschalten und werden erläutert, nachdem im folgenden die eigentliche Funk­ tion der Schaltungsanordnung erklärt wird.The other parts of the circuit arrangement of FIG. 1 are used essentially for generating a defi ned state after switching on and are explained after the actual radio tion of the circuit arrangement is explained below.

Ein im Mikroprozessor abgelegtes Programm ist derart ausgelegt, daß in regelmäßigen Abständen, beispiels­ weise nach jeweils 20 msec am Ausgang WDT 1 ein Sig­ nal abgegeben wird, das den Zähler zurücksetzt, bevor an seinem Ausgang ein Überlauf angezeigt wird. Der verwendete Zähler darf jedoch nur für eine kurze Zeit zurückgesetzt werden, da er anderenfalls ange­ halten wird. Der vom Mikroprozessor abgegebene Im­ puls wird daher dem flankengetriggerten Flip-Flop 5 zugeführt, das eine logische Eins solange speichert, bis es wieder zurückgesetzt wird. Die Rücksetzzeit ist durch einen Widerstand 13 in Verbindung mit der Eingangskapazität eines Schmitt-Triggers 14 sowie durch die Laufzeit des Schmitt-Triggers 14 defi­ niert. Dabei ist die Rücksetzzeit so lang, daß der Zähler 6 mit Sicherheit zurückgesetzt wird.

Bleibt ein Impuls am Ausgang WDT 1 des Mikroprozes­ sors aus, so läuft der Zähler 6 über und gibt an seinem Ausgang Q

eine Eins ab, welche über das Oder- Gatter 10 zum Takteingang 11 gelangt. Dadurch wird das Flip-Flop 11 gesetzt und an seinem Ausgang ein Fehlersignal abgegeben. Dieses erfolgt unabhängig davon, ob die fehlende Signalabgabe am Ausgang WDT 1 des Mikroprozessors 1 aufgrund eines Defekts des Mikroprozessors oder zur Überprüfung der Überwa­ chungseinrichtung erfolgt. Das Fehlersignal wird jedoch außer zum Ausgang 12 auch zu einem Interrupt- Eingang NMI (= non maskable interrupt) des Mikropro­ zessors 1 geleitet. Dort wird festgestellt, ob zuvor zu Überwachungszwecken die Signalabgabe an die Über­ wachungsschaltung unterdrückt wurde. Ist dieses der Fall, so wird beim folgenden Programmdurchlauf das Flip-Flop 5 wieder getriggert, wodurch über die Und-Schaltung 15 das Flip-Flop 11 zurückgesetzt und damit das Fehlersignal beendet wird. Für das Aus­ gangssignal des Flip-Flops 5 ist die Und-Schaltung 15 während dieser Zeit leitend, da von dem Mikropro­ zessor über den Ein-/Ausgang und über den Widerstand 16 eine Eins an den weiteren Eingang der Und-Schaltungn 15 gegeben wird.A stored in the microprocessor program is designed so that at regular intervals, example, every 20 msec at the output WDT 1 a signal is output signal that resets the counter before an overflow is displayed at its output. The counter used may only be reset for a short time, otherwise it will stop. The output from the microprocessor In pulse is therefore supplied to the edge-triggered flip-flop 5 , which stores a logical one until it is reset. The reset time is defi ned by a resistor 13 in conjunction with the input capacitance of a Schmitt trigger 14 and by the duration of the Schmitt trigger 14 . The reset time is so long that the counter 6 is reset with certainty.

If there remains a pulse at the output WDT 1 of the Mikroprozes sors, then the counter 6 passes and outputs at its output Q.

a one from which passes via the OR gate 10 to the clock input 11 . As a result, the flip-flop 11 is set and delivered an error signal at its output. This takes place regardless of whether the missing signal output at the output WDT 1 of the microprocessor 1 due to a defect of the microprocessor or to check the moni monitoring device. However, the error signal is routed except to the output 12 to an interrupt input NMI (= non-maskable interrupt) of the microprocessor 1 microprocessor. There it is determined whether previously for monitoring purposes, the signal output to the monitoring circuit was suppressed. If this is the case, the flip-flop 5 is triggered again during the following program run, whereby the flip-flop 11 is reset via the AND circuit 15 and thus the error signal is terminated. For the output signal from the flip-flop 5 , the AND circuit 15 is conductive during this time, as is given by the Mikropro processor via the input / output and the resistor 16, a one to the other input of the AND circuit 15 .

Der Eingang ist gleichzeitig der Ausgang einer internen Überwachungseinrichtung, die im Falle eines Fehlers im Mikroprozessor auf L (low) gesetzt wird. Dieses wird in einem Schmitt-Trigger 17 invertiert und einem weiteren Eingang der Oder-Schaltung 10 zu­ geführt, wodurch ebenfalls mit Hilfe des Flip-Flops 11 ein Fehlersignal ausgelöst wird. The input is at the same time the output of an internal monitoring device, which is set to L (low) in the event of a fault in the microprocessor. This is inverted in a Schmitt trigger 17 and passed to another input of the OR circuit 10 , whereby also with the aid of the flip-flop 11 an error signal is triggered.

Der Ein-/Ausgang dient jedoch außerdem dazu, beim Einschalten den Mikroprozessor rückzusetzen. Ein entsprechendes Signal wird von einem im einzel­ nen nicht dargestellten stabilisierten Netzgerät über einen Eingang 18, eine Oder-Schaltung 19 und eine Diode 20 zugeführt. Letztere dient zur Entkopp­ lung des Ein-/Ausgangs vom Ausgang der Oder- Schaltung 19 für den Fall, daß während des Betriebes die interne Überwachungseinrichtung den Ein-/Ausgang auf L setzt. Außerdem ist über einen Schmitt- Trigger 21 der Eingang 18 mit einem Eingang der Und- Schaltung 22 und mit einem Setzeingang des Flip-Flops 5 verbunden, um beim Einschalten beide Flip-Flops zu setzen, wodurch während der Einschaltphase ein Feh­ lersignal abgegeben wird. Erst wenn über den Ausgang WDT 1 ein Signal abgegeben wird und ein weiterer Aus­ gang des Mikroprozessors 1 auf L gesetzt wird, endet das Fehlersignal und gibt somit die Endstufe für das Stellglied (siehe Fig. 4) frei.

Das in Fig. 2 dargestellte Programm wird in regelmä­ ßigen Zeitabständen -

beispielsweise alle 100 ms durchlaufen. Es wird bei 27 gestartet, worauf bei 28 der Ausgang WDT 1 (Fig. 1) des Mikroprozessors ge­ sperrt wird. Danach wird ein Codewort aus dem Nur- Lese-Speicher 3 (Fig. 1) geladen. Nach einer Verzö­ gerung von 30 ms (Programmteil 29) erfolgt bei 30 eine Verzweigung in Abhängigkeit davon, ob ein nicht­ maskierbarer Interrupt ausgelöst wurde. Wurde kein Interrupt ausgelöst, ist davon auszugehen, daß die Überwachungsschaltung defekt ist, so daß im Programm­ teil 31 ein Unterprogramm zum Abschalten der Endstu­ fe (Fig. 4) aufgerufen wird. Wurde jedoch ein Inter­ rupt ausgelöst, so kann auf eine intakte Überwa­ chungseinrichtung geschlossen werden, so daß bei 32 ohne weitere Maßnahmen in das Hauptprogramm zurück­ gekehrt werden kann.

Das Flußdiagramm gemäß Fig. 3 stellt ein Programm dar, welches durch Auslösen eines nichtmarkierbaren Interrupts (NMI

) gestartet wird, wenn ein Fehlersig­ nal an den Eingang NMI des Mikroprozessors 1 (Fig. 1) gelangt. Nach dem Start bei 34 wird das im Schreib-Lese-Speicher 4 während des Programms nach Fig. 3 abgelegte Codewort mit dem im Nur-Lese-Spei­ cher befindlichen Codewort verglichen. Besteht Gleichheit, so handelt es sich um einen Test der Überwachungseinrichtung, worauf das Programm nach der Verzweigung 36 bei 37 mit dem Löschen des Code­ worts im Schreib-Lese-Speicher 4 (Fig. 1) fortge­ setzt wird. Danach wird bei 38 ein Signal zum Zurück­ setzen des Zählers 6 (Fig. 1) ausgegeben, worauf das Fehlersignal so frühzeitig beendet wird, daß es zu keiner Störung des Stellgliedes kommt. Bei 39 er­ folgt die Rückkehr in das Hauptprogramm.However, the input / output also serves to reset the microprocessor at power up. A corresponding signal is supplied from a stabilized power supply not shown in detail via an input 18 , an OR circuit 19 and a diode 20 . The latter is used to Entkopp ment of the input / output from the output of the OR circuit 19 in the event that the internal monitoring device sets the input / output to L during operation. In addition, via a Schmitt trigger 21, the input 18 is connected to an input of the AND circuit 22 and to a set input of the flip-flop 5 to set when switching both flip-flops, whereby a fault signal is delivered during the switch-on. Only when a signal is output via the output WDT 1 and another output from the microprocessor 1 is set to L, the error signal ends and thus releases the final stage for the actuator (see Fig. 4).

The program shown in Fig. 2 is at regular intervals -

for example, go through every 100 ms. It is started at 27 , whereupon the output WDT 1 ( FIG. 1) of the microprocessor is blocked at 28 . Thereafter, a codeword is loaded from the read-only memory 3 ( Fig. 1). After a delay of 30 ms (program part 29 ), a branch takes place at 30, depending on whether a non-maskable interrupt has been triggered. If no interrupt has been triggered, it can be assumed that the monitoring circuit is defective, so that a subprogram for switching off the endstu fe ( FIG. 4) is called in the program part 31 . However, if an Inter rupt triggered, it can be concluded on an intact moni monitoring device, so that at 32 without further action in the main program can be returned.

The flowchart of FIG. 3 illustrates a program which is triggered by triggering a non-markable interrupt (NMI

) is started when a Fehlerig signal to the input NMI of the microprocessor 1 ( Fig. 1) passes. After starting at 34 , the codeword stored in the random access memory 4 during the program of FIG. 3 is compared with the read-only memory codeword. If there is equality, then it is a test of the monitoring device, after which the program after the branch 36 at 37 with the deletion of the code word in the random access memory 4 ( Fig. 1) is continued. Thereafter, at 38, a signal to reset the counter 6 ( Fig. 1) is output, after which the error signal is terminated so early that there is no disturbance of the actuator. At 39 he follows the return to the main program.

Wird jedoch bei 36 keine Übereinstimmung der Code­ worte festgestellt, woraus geschlossen werden kann, daß das Fehlersignal nicht durch einen Test, sondern durch einen Fehler im Mikroprozessor ausgelöst wur­ de, erfolgt im Programmteil 40 die Abschaltung der Endstufe.However, if at 36 no match of the code words found, from which it can be concluded that the error signal was not WUR by a test, but by an error in the microprocessor WUR, takes place in the program part 40, the shutdown of the power amplifier.

Fig. 4 zeigt schematisch als bevorzugtes Anwendungs­ beispiel für das erfindungsgemäße Verfahren eine elektronische Gaspedalanlage. Dabei wird das Aus­ gangssignal eines als Sollwertgeber dienenden Gaspe­ dals 41 einem Eingang eines Steuergerätes 42 zuge­ führt. Das Steuergerät umfaßt unter anderem einen Mikroprozessor 1, der von einer Überwachungseinrich­ tung 43 überwacht wird, welche im wesentlichen der in Fig. 1 dargestellten Schaltung entspricht. Über eine stabilisierte Stromversorgungsschaltung 44 wird das Steuergerät 42 von der positiven Klemme 45 der nicht dargestellten Fahrzeugbatterie mit Betriebs­ spannung versorgt. Einem Ausgang 46 des Steuergerä­ tes wird ein Stellsignal entnommen, das beispiels­ weise von Impulsen gebildet wird, deren Breite modu­ liert ist. Diese werden über eine Endstufe 47 einem elektro-mechanischen Stellglied 48 zugeführt, dessen Abtrieb mit der Welle einer Drosselklappe 49 verbun­ den ist. Zur Erfassung der Drosselklappenstellung ist ein Winkelgeber 50 vorgesehen, dessen Ausgang mit einem weiteren Eingang des Steuergerätes 42 ver­ bunden ist. In an sich bekannter Weise wird dadurch die Stellung des Gaspedals 41 auf die Drosselklappe 49 übertragen. Dabei ist die Endstufe 47 zusammen mit dem Stellglied 48, der Drosselklappe 49 und einer Rückstellfeder 51 derart ausgelegt, daß bei stromloser Endstufe 47 die Drosselklappe 49 in die Leerlaufstellung gebracht wird. Fig. 4 shows schematically as a preferred application example of the inventive method an electronic accelerator pedal system. In this case, the output signal from serving as a setpoint generator Gaspe dals 41 is an input of a control unit 42 leads supplied. The controller includes, inter alia, a microprocessor 1 , which is monitored by a monitoring device 43 , which corresponds substantially to the circuit shown in FIG . About a stabilized power supply circuit 44 , the controller 42 is supplied from the positive terminal 45 of the vehicle battery, not shown, with operating voltage. An output 46 of the Steuergerä tes a control signal is taken, the example, is formed of pulses whose width is modu profiled. These are supplied via an output stage 47 an electro-mechanical actuator 48 , the output verbun with the shaft of a throttle valve 49 is the. For detecting the throttle position, an angle sensor 50 is provided, the output of a further input of the control unit 42 is connected ver. In known manner, the position of the accelerator pedal 41 is thereby transmitted to the throttle valve 49 . In this case, the output stage 47 is designed together with the actuator 48 , the throttle valve 49 and a return spring 51 such that when the power amplifier 47 is de-energized, the throttle valve 49 is brought into the idle position.

Das über einen weiteren Ausgang 12 des Steuergerätes 42 abgegebene Fehlersignal dient zur Abschaltung der Endstufe 47, worauf im Fehlerfall die Drosselklappe 49 in die Leerlaufstellung gelangt. Wird jedoch kurze Zeit nach dem Auslösen des Fehlersignals - wie im Zusammenhang mit Fig. 3 beschrieben - das Fehler­ signal beendet, so erfolgt wegen der Massenträgheit der Drosselklappe 49 keine merkbare Bewegung der Drosselklappe. The output via a further output 12 of the control unit 42 error signal is used to shut off the power amplifier 47 , whereupon the throttle 49 reaches the idle position in case of failure. However, if a short time after the triggering of the error signal - as described in connection with FIG. 3 - the error signal ended, so there is no noticeable movement of the throttle valve due to the inertia of the throttle valve 49 .

Bei einer praktisch ausgeführten Schaltung nach Fig. 1 haben sich folgende integrierte Schaltungen be­ währt:In a practical circuit according to Fig. 1, the following integrated circuits have been granted:

Zähler 6 Counter 6 40604060 Flip-Flop 5, 11 Flip-flop 5, 11 40134013 Schmitt-Trigger 14, 17, 21 Schmitt trigger 14, 17, 21 40934093 Oder-Schaltung 10, 19, 22 Or circuit 10, 19, 22nd 40714071 Und-Schaltung 15 And circuit 15 40814081

Claims (6)

1. Verfahren zur Überprüfung einer Überwachungsein­ richtung für einen Mikroprozessor, welche bei Aus­ fall eines ansonsten regelmäßig vom Mikroprozessor abgegebenen Signals ein Fehlersignal abgibt, dadurch gekennzeichnet, daß vom Mikroprozessor die Signal­ abgabe an die Überwachungseinrichtung wiederholt unterbrochen wird, daß vom Mikroprozessor überprüft wird, ob die Überwachungseinrichtung ein Fehlersig­ nal abgibt, und daß bei vorhandenem Fehlersignal das Fehlersignal beendet wird und bei nicht vorhandenem Fehlersignal ein Fehler der Überwachungseinrichtung festgestellt wird.1. A method for checking a Überwachungssein direction for a microprocessor, which emits an error signal in case of an otherwise regularly output from the microprocessor signal, characterized in that the microprocessor signal output to the monitoring device is interrupted repeatedly that is checked by the microprocessor, whether the monitoring device emits a Fehlerig signal, and that the error signal is terminated when there is an error signal and an error of the monitoring device is detected in the absence of an error signal. 2. Verfahren nach Anspruch 1, bei welchem ein elektro-mechanisches Stellglied vom Mikroprozessor gesteuert und bei vorhandenem Fehlersignal in eine Sicherheitsstellung gebracht wird, dadurch gekenn­ zeichnet, daß das Fehlersignal so schnell beendet wird, daß das Stellglied während dieser Zeit seine Position praktisch nicht verändert. 2. The method of claim 1, wherein a Electro-mechanical actuator from the microprocessor controlled and with an existing error signal in one Security position is brought, thereby identified records that the error signal ends so quickly is that the actuator during this time his Position virtually unchanged.   3. Verfahren nach Anspruch 2, dadurch gekennzeich­ net, daß bei Feststellung eines Fehlers der Überwa­ chungseinrichtung vom Mikroprozessor ein weiteres Fehlersignal abgegeben wird, das ebenfalls das Stell­ glied in die Sicherheitsstellung bringt.3. The method according to claim 2, characterized net, that upon detection of an error Überwa monitoring device from the microprocessor another Error signal is emitted, which is also the Stell limb into the safety position. 4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß das Fehlersignal im Mikroprozessor eine nichtmaskierbare Programmunter­ brechung (Interrupt) auslöst.4. The method according to any one of claims 1 to 3, characterized in that the error signal in Microprocessor a non-maskable program sub interruption (interrupt). 5. Verfahren nach einem der vorhergehenden Ansprü­ che, dadurch gekennzeichnet, daß das Unterbrechen der Signalabgabe an die Überwachungseinrichtung in regelmäßigen Zeitabständen erfolgt.5. The method according to one of the preceding Ansprü che, characterized in that the interruption the signal output to the monitoring device in regular intervals. 6. Verfahren nach einem der vorhergehenden Ansprü­ che, dadurch gekennzeichnet, daß bei der Unterbre­ chung der Signalabgabe ein Codewort in einem Schreib- Lese-Speicher eingeschrieben wird, daß bei Auftreten des Fehlersignals geprüft wird, ob das Codewort im Schreib-Lese-Speicher eingeschrieben ist, und daß bei eingeschriebenem Codewort eine ordnungsgemäße Funktion der Überwachungsschaltung und bei nicht ein­ geschriebenem Codewort ein Fehler im Mikroprozessor festgestellt wird.6. The method according to one of the preceding Ansprü che, characterized in that at the Unterbre signaling a codeword in a write Read memory is written that when occurring the error signal is checked whether the code word in Read-write memory is written, and that with registered codeword a proper Function of the monitoring circuit and not at written codeword an error in the microprocessor is detected.
DE19873728561 1987-08-27 1987-08-27 Method for checking a monitoring device for a microprocessor Expired - Fee Related DE3728561C2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE19873728561 DE3728561C2 (en) 1987-08-27 1987-08-27 Method for checking a monitoring device for a microprocessor

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE19873728561 DE3728561C2 (en) 1987-08-27 1987-08-27 Method for checking a monitoring device for a microprocessor

Publications (2)

Publication Number Publication Date
DE3728561A1 true DE3728561A1 (en) 1989-03-09
DE3728561C2 DE3728561C2 (en) 1997-08-21

Family

ID=6334581

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19873728561 Expired - Fee Related DE3728561C2 (en) 1987-08-27 1987-08-27 Method for checking a monitoring device for a microprocessor

Country Status (1)

Country Link
DE (1) DE3728561C2 (en)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3836870A1 (en) * 1987-11-06 1989-05-18 Vaillant Joh Gmbh & Co Method of monitoring a watchdog timer which monitors a microprocessor, and device to implement the method
DE3920696A1 (en) * 1989-06-24 1991-01-10 Bosch Gmbh Robert MICROPROCESSOR CIRCUIT ARRANGEMENT WITH WATCHDOG CIRCUIT
EP0575854A2 (en) * 1992-06-17 1993-12-29 Sumitomo Electric Industries, Ltd. Mutual monitoring circuit for computers
EP0596297A2 (en) * 1992-11-04 1994-05-11 Robert Bosch Gmbh Method and apparatus for checking the monitoring unit of a control system for an engine
WO1994029794A1 (en) * 1992-06-12 1994-12-22 Honeywell Inc. Dynamic self-checking safety circuit means
WO1997033083A1 (en) * 1996-03-09 1997-09-12 Robert Bosch Gmbh Method and device for controlling a vehicle drive unit
WO1999022298A1 (en) * 1997-10-29 1999-05-06 Continental Teves Ag & Co. Ohg Method and device for checking an error control procedure of a circuit
WO1999054825A1 (en) * 1998-04-17 1999-10-28 Infineon Technologies Corporation Peripheral device with access control
WO2005106229A1 (en) * 2004-04-27 2005-11-10 Siemens Aktiengesellschaft Electronic control device and method for controlling the operation of motor vehicle components
US7826962B2 (en) 2005-06-23 2010-11-02 Denso Corporation Electronic control apparatus

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10007952B4 (en) * 2000-02-22 2006-02-02 Abb Patent Gmbh Process for processing self-diagnosis
DE102016217762A1 (en) 2016-09-16 2018-04-12 Continental Automotive Gmbh Monitoring of safety-related functions by a non-secure arithmetic unit

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DD242697A1 (en) * 1985-11-15 1987-02-04 Elektroprojekt Anlagenbau Veb MONITORING CIRCUIT FOR MICRORECHNERS
DE3243760C2 (en) * 1982-11-26 1989-04-27 Brown, Boveri & Cie Ag, 6800 Mannheim Device for function monitoring of a processor

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3243760C2 (en) * 1982-11-26 1989-04-27 Brown, Boveri & Cie Ag, 6800 Mannheim Device for function monitoring of a processor
DD242697A1 (en) * 1985-11-15 1987-02-04 Elektroprojekt Anlagenbau Veb MONITORING CIRCUIT FOR MICRORECHNERS

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
HÖLSCHER, H., RADER, J.: Mikrocomputer in der Sicherheitstechnik, Verlag TÜV Rheinland, Köln 1984, S. 7-73 und 7-74 *

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3836870A1 (en) * 1987-11-06 1989-05-18 Vaillant Joh Gmbh & Co Method of monitoring a watchdog timer which monitors a microprocessor, and device to implement the method
DE3920696A1 (en) * 1989-06-24 1991-01-10 Bosch Gmbh Robert MICROPROCESSOR CIRCUIT ARRANGEMENT WITH WATCHDOG CIRCUIT
WO1994029794A1 (en) * 1992-06-12 1994-12-22 Honeywell Inc. Dynamic self-checking safety circuit means
EP0575854A2 (en) * 1992-06-17 1993-12-29 Sumitomo Electric Industries, Ltd. Mutual monitoring circuit for computers
EP0575854A3 (en) * 1992-06-17 1994-04-13 Sumitomo Electric Industries
EP0596297A2 (en) * 1992-11-04 1994-05-11 Robert Bosch Gmbh Method and apparatus for checking the monitoring unit of a control system for an engine
EP0596297A3 (en) * 1992-11-04 1995-09-06 Bosch Gmbh Robert Method and apparatus for checking the monitoring unit of a control system for an engine.
US6125322A (en) * 1996-03-09 2000-09-26 Robert Bosch Gmbh Method and device for controlling a vehicle drive unit
WO1997033083A1 (en) * 1996-03-09 1997-09-12 Robert Bosch Gmbh Method and device for controlling a vehicle drive unit
WO1999022298A1 (en) * 1997-10-29 1999-05-06 Continental Teves Ag & Co. Ohg Method and device for checking an error control procedure of a circuit
US6658606B1 (en) 1997-10-29 2003-12-02 Continental Teves Ag & Co. Ohg Method and device for checking an error control procedure of a circuit
WO1999054825A1 (en) * 1998-04-17 1999-10-28 Infineon Technologies Corporation Peripheral device with access control
US6141774A (en) * 1998-04-17 2000-10-31 Infineon Technologies North America Corp. Peripheral device with access control
WO2005106229A1 (en) * 2004-04-27 2005-11-10 Siemens Aktiengesellschaft Electronic control device and method for controlling the operation of motor vehicle components
US7444226B2 (en) 2004-04-27 2008-10-28 Siemens Aktiengesellschaft Electronic control device and method for controlling the operation of motor vehicle
CN100436792C (en) * 2004-04-27 2008-11-26 西门子公司 Electronic control device and method for controlling the operation of motor vehicle components
US7826962B2 (en) 2005-06-23 2010-11-02 Denso Corporation Electronic control apparatus

Also Published As

Publication number Publication date
DE3728561C2 (en) 1997-08-21

Similar Documents

Publication Publication Date Title
DE4039355C2 (en) Device for checking the function of a watchdog circuit
DE10056408C1 (en) Processor monitoring device uses watchdog for monitoring system clock and providing software checking function and component check monitoring function
DE4106704C5 (en) Device and method for error detection and display
DE4320173C2 (en) Diagnostic methods for motor vehicles for checking electronically controlled systems
EP0185667B1 (en) Resetting circuit for a microprocessor
EP0577641B1 (en) Circuit for a regulator
DE4424020A1 (en) Test method for a passive safety device in motor vehicles
DE3728561A1 (en) Method of testing a monitoring device for a microprocessor
WO2005000653A1 (en) Method and arrangement for eliminating false messages in monitoring systems
DE2701159C3 (en) Circuit arrangement for periodically checking the functionality of parts of an anti-lock pressure medium-operated vehicle brake system
DE19828057A1 (en) Unit monitoring continuous voltage supply to SRAM in vehicle controller
EP1277095B1 (en) System and method for the monitoring of a measurement and control device
WO1988005570A1 (en) Process and device for monitoring computer-controlled final control elements
DE10392916T5 (en) Self-test system
DE10344460A1 (en) Error handling method for an electronic control unit, e.g. in a motor vehicle, whereby each time an error repeats, a counter is increased until a threshold is reached at which point a more extensive investigation program is run
WO2008068189A1 (en) Method for updating software of an electronic device, in particular of the release of low-voltage circuit breakers
WO2005106229A1 (en) Electronic control device and method for controlling the operation of motor vehicle components
EP0596297B1 (en) Method and apparatus for checking the monitoring unit of a control system for an engine
DE3731097C2 (en) Circuit arrangement for monitoring a device controlled by two microprocessors, in particular motor vehicle electronics
EP0508081B1 (en) Circuit and method for monitoring a fuel-heated apparatus
EP1751630B1 (en) Microcontroller system and operating method therefor
EP0694451B1 (en) Vehicle security device
DE19757290C1 (en) Method of operating an airbag controller
DE2557358C2 (en)
DE2458631A1 (en) SIGNAL DISPLAY FOR ELECTRICAL SYSTEMS INCLUDING BUILT-IN MEASURING AND TESTING EQUIPMENT

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
D2 Grant after examination
8327 Change in the person/name/address of the patent owner

Owner name: MANNESMANN VDO AG, 60326 FRANKFURT, DE

8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee